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L' invention concerne un precede de generation de 
5 cl6s 61ectroniques pour proc^de de cryptographie ^ cle 
publique. Elle concerne 6galement un objet portatif 
securis6 mettant en oeuvre le precede - 

L' invention concerne plus particulierement la 
generation de cl6s d' un systfeme cryptographique de type 
10 RSA et leur stockage sur un objet securise en vue de 
leur utilisation dans une application nfecessitant de la 
securite . 

L' invention s' applique tout particulierement a des 
objets securises ne poss§dant pas d' importante 
ressource m^moire telle que de la m6raoire 
electriquement programmable, ni de ressources de calcul 
puissantes comme c' est le cas pour les cartes ^ puce. 

Une application de 1' invention est le commerce 
61ectronique par 1' interm^diaire d' un telephone 
portable. Dans ce contexte les cl6s peuvent se trouver 
sur la carte SIM du telephone. 

II est en effet pr6vu que certains programmes 
d' applications utilisent de telles cl6s pour mettre en 
oeuvre un transfert de' donnees conf identielles, dans un 
contexte de commerce 61ectronique par exemple . Par la 
suite, on consid^rera que ces applications sont 
fournies par une entity fournisseur de service. 

En outre, il est connu que pour garantir 
1' integrity de la cl6, on lui associe g6n6ralement un 
certificat fourni par une entit6 de confiance. 
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Parmi les proced6s de cryptographie a cl6 publique, 
s'interesse dans ce qui suit au protocole de 
cryptographie RSA (Rivest Shamir et Adleman) . Ce 
protocole met en oeuvre une 6tape de g§n6ration de 
nombres premiers de grande taille, couteuse en temps de 
calcul et en place memoire. 

On rappelle que ce protocole de cryptographie RSA 
perraet le chiffrement d' informations et/ou 
I'authentification entre deux entit6s et/ou la 
signature 61ectronique de messages. 

Le protocole de cryptographie RSA est le plus 
utilise car il poss^de des propri6t6s qui lui 
permettent d'etre employ^ aussi bien en chiffrement 
qu'en g6n6ration de signature. 

Pour ce faire, le syst6me de cryptographie RSA 
comprend un algorithme « public » r^alisant la fonction 
de chiffrement ou de verification de signature et un 
algorithme « priv6 » r^alisant la fonction de 
d6chiffrement ou de generation de signature. 

Sa security repose sur la difficult^ de 
factorisation d'un nombre entier public N de grande 
taille qui est le produit de deux nombres premiers 
secrets p et q de grande taille, le couple (p,q) 
entrant dans le calcul de la cl§ priv6e (secrete) d 
utilis6e par la fonction de dechif f rement ou par la 
fonction de calcul d'une signature. 

Afin de mieux comprendre le probleme qui va etre 
expose dans la suite, on va rappeler dans ce qui suit 
les paramdtres entrant dans un schema de cryptographie 
RSA : . 

1) L'exposant public e : 



II est propre ^ une application et est fourni par 
cette application, De ce fait, il est commun & tous les 
utilisateurs de cette merae application. 

2) Les parametres p et q: 

lis sont g6n6res ^ I'issu d'^un calcul couteux en 
temps, lis ont en general la raeine longueur {meme 
taille) . Cette longueur est classiquement de 512 bits. 
Pour augmenter la securite^ cette longueur peut aller 
de 512 bits a 2048^ 2048 bits etant envisages pour le 
f utur . 

3) N est le module public et est calculi a partir 
de la relation suivante : 

N = p*q 

La cle de I'algorithme est dite de longueur if 
lorsque le module public N est de longueur i . Cette 
longueur est fixee par 1' application (ou fournisseur de 
service) . 

. 4) les parametres e et N forment la cle publique. 

5) la cl6 priv6e d est calcul^e ci partir de la 
relation suivante : 

d = l/e[mod{p-l) (q-1)] ; (1/e- e"^ ) 

soit encore ed s l [(mod ppcm(p-l, q~l)] ; ppcm 
signifie le plus petit commun multiple / 

les parametres secrets sont form6s par le triplet 
(d,. p, q) . 

6) la forme « normale » de la cle privee est: 
(d,N). 

6) la forme CRT (Chinese Remainder Theorem) de la 
cle privee est: 

dans ce cas la cl6 priv6e comporte 5 parametres : 

q 

dp avec dp = d mod{p-l) 
dq avec dq = d mod(q-l) 
Iq avec Iq - q'^modp. 



Le principe de la generation d'une cle selon le 
schema RSA consiste done comme on peut le voir, a 
g6n6rer une cle privee d a partir d'un exposant public 
5 e (ou cle pxablique) fixe par 1' application, les 
param^tres p, q etant g6n6r6s de sorte que p*q = la 
longueur ^ de N 6tant fix6e. 

Lorsque plusieurs applications sont prevues, 
chaque fournisseur de service fournit son exposant 
10 public e et la longueur du module public de manidre 
a ce que puisse Stre gen6ree la cle priv6e d 
correspondante . 

Ainsi, la mise en oeuvre d' un calcul de cle RSA 
necessite la connaissance de 1' exposant public e et 
15 celle de la longueur i de la cle de I'algorithme c'est 
a dire la longueur du modulo N. Avec les donnees 
d'' entree e et f , il reste a generer le couple de 
nombre premier p et q de maniere a ce que ces derniers 
repondent aux conditions suivantes : 
20 (i) p-1 et q-1 premiers avec e et, 

(ii) N= p*q un nombre entier de longueur i . 
Ces contraintes sont coOteuses en temps de calcul. 

On rappelle a ce propos que la g§n6ration et le 
25 stockage des cles pour des objets portables tels que 

les cartes a puce s'effectuent k ce jour des deux 

manidres suivantes : 

Selon une premiere maniere, le calcul d'une cle RSA 

est effectu6 sur un serveur pour prof iter d' une 
30 puissance de calcul importante. On requiert alors pour 

plus de security, un certificat que I'on telecharge 

avec la cl6 au sein de I'objet s6curise lors de sa 

phase de personnalisation . 



Cette solution pr6sente les inconv6nients 
suivants : 

~ d'une part malgr6 le cadre relativement s^curise 
de la personnalisation, il peut y avoir vol ou 
duplication de la cl6 du fait de son transfert du 
serveur vers I'objet s6curis6^ et 

- d' autre part, chaque cl6 est chargee dans I'objet 
dans une phase initiale de personnalisation, ce qui 
n^cessite de prevoir un maximum de cles dans chaque 
objet pour pouvoir anticiper les futurs besoins. 

Dans la pratique, on stocke dans 1' objet portable 
des ensembles de cles et de certificats correspondant a 
chaque application susceptible d^'etre utilisee, sans 
savoir si ces cl^s seront reellement utiles 
ulterieurement . Un emplacement memoire important est 
utilise inutilement. Par exemple 0|.3 Koctets sont 
necessaires pour une cl6 de RSA de module de 1024bits, 
alors que les cartes actuelles ont au plus 32Koctets de 
ra6moire programmable. En outre, un nombre important de 
certificats est achet6 it 1' entity de confiance ce qui 
est couteux. 

- en outre 1' inconvenient tout aussi important qui 
est qu'il n'est pas possible d'ajouter de nouvelles 
cl6s au fur et ^ mesure que de nouvelles applications 
pourraient etre envisag6es . 

Selon une deuxi^me solution, le calcul peut etre 
effectue au sein de 1^ objet securise, Cela r^sout le 
premier inconvenient de la solution precedente mais 
cree une lourdeur de traitement au niveau de 1' objet 
s6curise qui possede une faibl.e capacite de calcul. 

En effet, lorsque la generation d'une cle RSA est 
realisee par un objet portatif tel qu'une carte a puce, 
si la longueur imposee de cle RSA est de 2048 bits, le 



calcul prend alors 30 secondes avec un algorithme 
perf ormant . 

Heme si ce temps de calcul est acceptable pour 
certaines applications car on g6nere les cl6s RSA une 
seule fois pour une application donnee, ceci n'est pas 
satisfaisant pour les services de tel6phonie mobile 
(GSM par exemple) car cette operation se renouvelle k 
chaque changement de carte SIM et qu'un plus grand 
nombre de cles doit §tre prevu pour r6pondre aux 
besoins de diff6rentes applications. 

D' autre part, cette solution presente toujours le 
second inconvenient de la solution precedents ^ savoir 
la n^cessite de ressource m^moire. 

Du fait d'un besoin en ressources de calcul 
important, les cl§s sent toujours cr6es durant la phase 
de personnalisation a partir des exposants publics e 
fournis par les differentes entit6s fournisseur de 
service. Cette 6tape de calcul ne peut pas €tre mise en 
ceuvre ulterieurement car elle paralyserait le 
fonctionnement de I'objet. 

De fagon pratique ce calcul n'est presque jamais 
mis en osuvre par la carte. En effet, ce calcul est long 
et il pourrait ralentir la phase de personnalisation, 
de plus sa dur6e est variable et elle pourrait se 
r6v61er incompatible avec les precedes de 
personnalisation des cartes S puce. 

La pr6sente invention a pour but de resoudre ces 
problemes . 

Plus precisement 1' invention a pour objectif de 
resoudre le probleme de lourdeur du calcul li6 ^ la 
gestion de generation de cl6s ainsi que le problSme de 
manque de flexibility dQ au stockage initial et 



d6finitif d'un nombre important de cl6s et de 
certificats en phase de personnalisation. 

A cette fin, un objet de la pr^sente invention 
concerne un procede de generation de cles electroniques 
5 d pour procede de cryptographie ^ cle publique au moyen 
d'un dispositif 61ectronique, principalement 

caracteris6 en ce qu'il comprend deux etapes de calcul 
dissoci6es : 

Etape A 

10 1) Calcul de couples de nombres premiers (P/q) ou 

de valeurs representatives de couples de 
noitODres premiers, ce calcul etant independant 
de la connaissance du couple {e,l) dans lequel 
e est I'exposant public et 1 la longueur de la 

15 cl6 du proc6d6 de cryptographie, 1 etant 

egalement la longueur du module N dudit 
precede, 

2) Stockage des couples ou des valeurs ainsi 
obtenus ; 
20 Etape B 

Calcul de la cl6 d a partir des r6sultats de 
1' etape A et de la connaissance du couple (e,l)* 

Selon une premiere variante, l'6tape A-1) consiste 
25 ^ calculer des couples de nombres premiers (Pfq) sans 
connaissance de I'exposant public e ni de la longueur 1 
de la cle, en utilisant un parametre n qui est le 
produit de petits nombres premiers. De cette maniere 
couple (p,q) obtenu a 1' etape A, a une probabilite 
30 maximale de pouvoir correspondre a un futur couple 
(e,l) et permettra de calculer une cl6 d lors de la 
mise en oBuvre de 1' etape B, 

Selon une autre variante d^pendante de la variante 
pr6cedente, le calcul A-1) tient compte en plus du fait 



que e a une forte probability de faire partie de 
1' ensemble {3, 17,..., 2"*M , on utilise pour cela dans le 
calcul de I'etape A, une graine ci qui permet de 
calculer non pas des couples (p,q) mais une valeur 
representative appel6e image des couples (P/q). 

Le stockage A-2) consiste alors a m^moriser cette 
image. Ceci permet de gagner de la place m6moire 
puisqu'une image est plus petite qu'un nombre premier p 
ou q par exemple 32 octets compares S 128 octets. 

Selon une troisi^me variante on effectue un calcul 
de couples (P/q) pour differents couples (e,l) 
probables. De fagon pratique le parametre n va contenir 
les valeurs usuelles de e par exemple 3, 17. 

Selon une quatri^me variante 1' etape A-1) comprend 
une operation de compression des couples (p,q) calcules 
et 1' etape A-2} consiste alors a stocker les valeurs 
compress^es ainsi obtenues . 

L' etape B comprend la verification des conditions 
suivantes pour un couple (b,1) donn6; 

(i) p-1 et q-1 premiers avec e et, 

(ii) N= p*q un nombre entier de longueur i . 

Selon un mode de realisation pr^f^re, 1' etape A-1) 
comprend la generation d'un nombre premier q, le choix 
d'une limite inferieure Bo pour la longueur f o de ce 
nombre premier a gen6rer telle que £o ^ Bo par exemple 
Bo= 256 bits, et elle comprend en outre les sous-etapes 
suivantes : 

1) -calculer des parametres v et w a partir des 
relations suivantes et les memoriser: 

v=V2^/ n 
w=2*»/ n 



dans lesquelles Tl est memorise et correspond au 
produit des f plus petits nombres premiers, f 6tant 
choisi de maniere telle que 11 ^ 2^°, 

2) -choisir un nombre j dans I'intervalle des 
5 nombres entiers {v,„..,w-l} et calculer £=j 11 ; 

3) -choisir et enregistrer un nombre premier k de 
longueur courte par rapport k la longueur d'une cle RSA 
dans I'intervalle des nombres entiers {0/,..., 11—1} , 
(k, n) etant co-premiers, ; 

10 4) -calculer q= k+f , 

5) -verifier que q est un nombre premier, si q 
n^'est pas un nombre premier alors ; 

a) prendre une nouvelle valeur pour k au moyen de 
la relation suivante : :.. 

15 k = ak{modn); a appartenant au groupe 

multiplicatif Z*yi des nombres entiers modulo 11; 

b) r6iterer ^ partir de la sous-etape 4) . 

Avantageusement l'6tape B comprend, pour un couple 
20 (P/q) obtenu l'6tape A,et un couple (e,l) donn6 : 

- La verification des conditions suivantes : 

(i) p-1 et q-1 premiers avec e et, 

(ii) N= p*q un nombre entier de longueur i, 

- Si le couple (p^q) ne r^pond pas ^ ces 
25 conditions : 

- Choix d'un autre couple et reiteration de la 
verification jusqu'a ce'qu'un couple convienne^ 

- Calcul de la cl§ d a partir du couple (P/q) 
obtenu a 1' issue de cette verification. 

30 

L' invention a 6galement pour objet, un objet 
securis6 portatif apte cL g§n6rer des cl6s electroniques 
d d'un algorithme de cryptographie de type RSA, 
caract6ris6 en ce qu'il comprend au moins : 



- Des moyens de coiranunication pour recevoir au 
itioins un couple (e,l)/ 

- Une memoire pour stoker les resultats d'une etape 
A consistant a : 

Calculer des couples de nombres premiers (P/q) ou 
de valeurs representatives de couples de nombres 
premiers, ce calcul etant independant de la 
connaissance du couple {e,l) dans lequel e est 
I'exposant public et 1 la longueur de la cle du 
proc6de de cryptographie, 1 etant egalement la 
longueur du module N dudit precede, 

- Un programme pour mettre en oeuvre une etape B 

consistant a : 

Calculer d'une cl6 d a partir des resultats de 
I'etape A et de la connaissance d'un couple (e,l), 

L'objet securise portatif comprend en outre un 
programme pour la mise en oeuvre de I'fetape A, les 
etapes A et B etant dissoci^es dans le temps. 

L'objet securise portatif pourra gtre constitue 
par une carte a puce. 

D'autres particularit6s et avantages de 1' invention 
apparaltront clairement k la lecture de la description 
qui est donnee ci-apr6s ^ titre d'exemple non limitatif 
et en regard de la figure unique representant un schema 
d'un syst^me de mise en oeuvre du precede. 

La suite de la description est faite dans le cadre 
de 1' application de 1' invention a un objet portatif de 
type carte a puce et pour simplifier 1' expression on 
parlera de carte a puce. 

Selon le precede propose la generation de cl6s se 
fait en deux etapes dissoci^es. 



La premiere Etape A comporte un calcul de couples 
de nombres premiers (p^q) ou de valeurs representatives 
de couples de nombres premiers appel6es images. 

Les couples (p,q) obtenus sont stock6s. 

Ce calcul est lourd et il est d' autant plus lourd 
si on utilise un algorithme de generation de nombres 
premiers classique. 

II est propose ici que ce calcul soit effectue de 
mani^re independante de la connaissance du couple 
(e,l) . 

Comme cela va etre detaille dans la suite un mode 
de realisation pr6fere pour mettre en oeuvre cette etape 
permet d'all^ger les calculs et de limiter la place 
m^moire necessaire pour le stockage des couples (p,q) 
obtenus en stockant une image de ces couples. 

La deuxieme Etape B comporte le calcul a 
proprement parler de la cle d a partir des r6sultats de 
1' etape A et de la connaissance du cotiple (e,l). 

Ce calcul comprend, pour un couple (p^q) obtenu a 
l'6tape A, et un couple (e,l) donne : 

- La verification des conditions suivantes : 

(i) p-1 et q-1 premiers avec e et, 

(ii) N= p*q , ce norabre doit etre un nombre 
entier et de longueur i , 

Si un couple (p,q) ne r6pond pas A ces 
conditions, on choisit un autre couple et on reitere de 
la verification jusqu'a ce qu'un couple convienne parmi 
les couples obtenus lors de 1' etape A. 

- On peut proceder alors au calcul de la cle d a 
partir du couple {p,q) obtenu k 1' issue de cette 
verification. 

La premiere 6tape qui correspond a un calcul 
relativement lourd par rapport ^ la deuxieme etape, 
peut etre executee par un autre organe que la carte k 




puce par example par un serveur. Dans ce cas, les 
resultats du calcul de cette premiere etape pourront 
§tre charges sur une carte a puce au moment de la 
personnalisation . 

5 Le calcul de l'6tape A peut ^galement etre fait par 

la carte elle-m§me a un instant quelconque qui ne g§ne 
pas I'utilisateur de cette carte. Par exemple, ce 
calcul peut §tre fait lors de la personnalisation de la 
carte ou plus tard. 

10 De fagon pratique, lors de 1' utilisation de la 

carte, pour obtenir un service, si une cle priv6e est 
nfecessaire, alors la cle publique est fournie par le 
fournisseur de service (§ventuellement a distance si 
elle n'est pas dej^ stockee dans la carte) afin de 

15 gen6rer la cle privee. Cette etape de generation (etape 
B de calcul) est effectuee de maniere rapide par la 
carte. 

On voit done que de nouvelles applications qui 
necessitent le calcul d'une cle priv6e d peuvent §tre 
20 prevues pour une carte. 

on voit §galement qu'il n'y a pas besoin d'associer 
un certificat aux couples (p,q) car ils ne sont pas 
associSs a une cl6 privee. 

Ainsi, la g§n6ration d'une cle priv6e peut etre 
25 faite A bord c'est h dire par la carte elle-mgme avec 
un gain d'un facteur 10 en temps d' execution par 
rapport aux proc6d6s de generation de cles connus a ce 
jour . 
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On va d6crire dans ce qui suit un mode pref^re de 
realisation pour la mise en oeuvre de 1' fetape A. Ce mode 
de realisation est particulierement avantageux pour la 
mise a bord d'une carte ^ puce car il permet 



d'optimiser a la fois la place memoire mais aussi le 
temps de calcul . 

Tout d^'abord^ afin de s' assurer que N=p*q est un 
5 entier de £-bit^ on choisit p appartenant ^ 
I'intervalle : 

Et q appartenant d I'intervalle : 

10 

Pour ^0 compris entre 1 et t . 

Ainsi min (p)min (q) est compris entre 2*^-1 et N,. et 
15 max(p)max(q) est compris entre N et 2' comme cela est 
demande . 

De ce'tte fagon, la condition ii) ci-dessus 
mentionnee se reduit a rechercher des nombres premiers 
dans I'intervalle : 

20 

La solution proposee exploite le parametre n. Ce 
parametre Tl est le produit de petits nombres premiers 

25 dans lequel on peut trouver notamment 3, 17, 2^^*^ ' 
nombres premiers g6n§ralement utilises comme exposants 
publics. Ainsi, la probabilite pour qu'un couple (p^q) 
corresponde a un futur couple (e,l) donne, d6ja tres 
61evee, augmente encore lorsque n comporte de telles 

30 valeurs . 

On choisit les f plus petits nombres premiers, f 
etant choisi de mani^re telle que ITiPi ^ 2Bo^ Bo est la 



borne inferieure choisie pour io. par exemple on peut 
choisir Bo egal a 256 bits. 

n est egal au produit : 2.3 191 et est inferieur 

a 2^^^ 

5 On peut alors raeinoriser cette valeur n dans la 

carte par exemple comrae une constante dans la memoire 
raorte de programme - 

La premiere phase du procede consiste a g§nerer et 
a enregistrer un nombre premier k de longueur courte 

10 par rapport a la longueur d'une cle RSA dans 
I'intervalle des nombre entiers {0,...-, n-1} , (k, Tl) 
etant copremiers, c'est d dire n' ayant pas de facteur 
commun . 

La deuxieme phase consiste ensuite a partir de ce 
15 nombre k a construire le premier candidat q qui 
satisfait la condition d'^etre copremier avec n . 

Si ce premier candidat ne satisfait pas cette 
condition, alors il est mis a jour c'est a dire qu'un 
autre candidat est choisi jusqu'^ ce qu'une valeur de 
20 q satisfaisant a la condition soit trouvee . 

On va presenter dans la suite les diffferentes 
stapes de I'algorithme de g§n6ration d'un nombre 
premier entrant dans le calcul d'une cle RSA selon 
1' invention. 

25 L'algorithme propose fonctionne quelle que soit la 

longueur lo donnee pour le nombre premier q qui doit 
etre g6n6re. 

La generation du nombre premier p est identique, il 
suffit de remplacer q par p dans les etapes qui vont 
30 etre developpees et de remplacer lo par l-lo. 

Apres avoir fixe la limite Bo, on calcule les 
nombres premiers uniques v et w satisfaisant les 
conditions suivantes : 



2^° -n ^ wn ^ 2^*^ 

Ceci, se traduit par le calcul de v et w par les 
5 relations suivantes : 

v=^£^^/ n 
n 

10 Puis apres avoir pris k appartenant au groupe 

multiplicatif Z*n d^s nombres entiers modulo n, on 
construit le premier candidat q tel que^r 

q=k+j n pour tout j appartenant a I'intervalle [v, 
w-1] . 

15 Coinme justement k apparient a 2*11/ la probability ■ 

pour avoir un premier candidat q premier, est 61evee. 

Si ce n' est pas le cas, on met ^ jour k en prenant k - 

egal a ak(mod n) , a appartenant au groupe Z*n on ; 

reitere jusqu'^ trouver une valeur de q correspondant ^ 
20 un nombre premier . 

Une mani^re de tester la primalit6 d'un nombre est 

par example d'utiliser le test de Rabin-Miller, 

Les differentes etapes de I'' algorithme propos6 sont 

pr6cisement les suivantes : 
25 1) -calculer des parametres v et w a partir des 

relations suivantes et les memoriser: 

w=2*^/ n 

30 dans lesquelles 11 est m§moris6 et correspond au 

produit des f plus petit s nombres premiers, f 6tant 
choisi de mani^re telle que IT ^ 2^*", " 

2)-choisir un nombre j dans I'intervalle des 
nombres entiers {v,...,,w-l} et calculer i=j 11 ; 




3)-choisir et enregistrer un nombre premier k de 
longueur courte par rapport a la longueur d'une cle RSA 
dans I'intervalle des nombres entiers (0/...., 11 — 1} , 
(k^ n) etant co-premiers, ; 
5 4)-calculer q= k+< / 

5) -verifier que q est un nombre premier, si q 
n'est pas un nombre premier alors : 

a) prendre une nouvelle valeur pour k au moyen de 
la relation suivante : 

10 k==ak(modn); a appartenant au groupe 

multiplicatif Z*n des nombres entiers modulo 11; 

b) reiterer a partir de I'etape 4) ; 

6) enregistrer a, k' j pour les utiliser afin de 
retrouver q et ensuite exploiter q pour l'^ utiliser lors 

15 d'un calcul ulterieur de generation d'une cle RSA. 

Au lieu de stocker la valeur de q on va proceder 
avantageusement comme decrit dans la suite. 

Une maniere simple de mettre en oeuvre cet 
algorithme peut consister pour chaque longueur de cl6 
20 RSA envisagee, de stocker les valeurs de k et j de 
maniere a re construire q. 

Plutot que de choisir un nombre aleatoire j comme 
indiqu6 a I'etape 2) un autre mode de realisation peut 
consister a construire j k partir d'un nombre aleatoire 
25 court . 

On prend par exemple un nombre de longueur 64 -bit, 
que I'on designe par graine et que I'on denote a. Cette 
graine est alors prise comme valeur d' entree d'un 
generateur de nombres pseudo-aleatoires PRNG, lequel va 
30 permettre de generer j . 

j est alors defini comme PRNGi (cr) (mod (w-v) +v) . 

Ce mode d' execution permet de reduire 
considerablement les besoins en place m6moire car il 
n'y a a stocker que les valeurs de a et de k en memoire 



EEPROM. La valeur de 11 est en m^moire morte (dans le 
programme de calcul) . 

On peut encore reduire les besoins en place memoire 
en constatant que : si k(o> est la premiere valeur de k 
5 appartenant au groupe Z*n/ alors, les nombres premiers 
g6neres ont la forme : 

q= a^"^ k(o) mod n +j Tl 

f etant le nombre d' echec du test de I'etape 4). 
Cette valeur k(o) qui appartient au groupe Z^fl/ peut 
10 etre facilement calculee a partir d'une graine 
aleatoire courte comma a par exemple et en utilisant la 
fonction de Carmichael de denotee X(n). 

En utilisant cette fonction on peut exprimer k(o) 
par la relation suivante : 
15 k(o)=[PRNG2(a)+b^'^^^^^^ {PRNG2(cr)^^"^-l) ] (modH) 

b 6tant un Element d'ordre A,(n) appartenant a Z*n- 

Ces deux modes d' execution permettent de reduire 
les besoins en place memoire puisqu'on ne va devoir 
20 stoker dans ce cas^ que la valeur de la graine cr et 
differentes valeurs de f pour les longueurs desirees de 
cl6s • 

Pour des cles RSA de modulo superieur Sl 204 8 bits^ 
les experiences numeriques qui ont ete faites par les 

25 inventeurs montrent que f est egal a 2®. Ceci signifie 
que f peut etre code sur 1 byte soit 8 octets. 

A titre d'' exemple^ pour generer des cles RSA de 
longueur allant de 512 a 2048 bits avec une granulite 
de 32 bits, il y a 49 longueurs de cle possibles • II 

30 est done necessaire de stocker sur la carte un byte 
soit 8 octets correspondant a la valeur de a. II est 
§galement n6cessaire de stocker les valeurs de f pour 
les nombres premiers p et q soit 2*4 9=98 octets. Ceci 



fait au total 106 bytes soit 848 bits en m^moire 
EEPROM . 

On dernier mode d' execution permettant de r§duire 
la place m^moire, consiste a stoker dans le programme 
de calcul, c' est a dire en memoire de programme, 
plusieurs valeurs de n et les valeurs de X,(n) 
correspondantes pour differentes longueurs de cles 
envisag^es. On peut remarquer qu'une grande valeur de n 
conduit aux plus petites valeurs pour f. 

Le nombre premier q g6nere selon I'etape 4) par 
I'algorithme qui vient d'Stre decrit satisfait comme on 
I'a vu precedemment ^ la condition : 

q= a^"'' k(o) mod n +j*n 

Si e divise n on peut exprimer q par la relation 
suivante : 

q= a*"^ k(o) mod(e) 

Afin que la condition i) enoncee au d6but de la 
description soit remplie, il faut choisir a tel que 
a=l(mod e) et forcer k(o) de maniere a ce qu'il soit 
different de 1 (mod e) . 

Ainsi le nombre premier q obtenu satisfait la 
relation q= k(o) different de 1 (mod e) . 

La g§n6ration du nombre premier p est identique, q 
est remplace par p dans les 6tapes qui ont 6t§ 
dfevelopp6es et lo par l-lo. 

Comme cela a 6t6 dit, le programme mettant en ceuvre 
le proced6 de la carte n'a pas besoin de connaitre a 
priori I'exposant public e. Get exposant peut done §tre 
fourni a tout moment par une application chargee dans 
la carte. 



Toutefois, on sait que pour la plupart des 
applications (plus de 95%) , les valeurs de e utilisees 
sont les valeurs {3, 17, 2^*+l}. 

Afin de couvrir le plus grand nombre 
d' applications, on va de fagon pr6f erentielle choisir a 
tel que a= 1 mod ({3, 17, 2^+1 }) et forcer k,o) different 
de cette valeur : 1 mod({3, 17, 2^^+l}). 

On choisit par exemple conime candidat possible pour 
a, le nombre premier R= 2"-2^2+l ^ condition que le plus 
grand comraun diviseur de n et de R soit egal a 1. 

La condition requise pour k(o) peut etre obtenue par 
le theor^me du reste chinois . 

Comme cela a et6 dit une autre alternative peut 
consister pour l'6tape A-1) a calculer des couples de.- 
nombres premiers (p,q) pour diff6rents couples (e,l) 
probables . 

En conclusion, 1' invention propose un proc6d6 en. 
deux etapes dissoci^es, la deuxi^me etape trfes rapide , 
par rapport aux solutions connues, peut §tre ex6cutee 
en temps reel. Ce proc6d6 est 6galement peu coQteux en . 
place meraoire. 

En outre, il n'y a pas de limite pour de nouvelles 
applications non prevues d la personnalisation de la 
carte . 



BBVEZnSXCATlONS 

1. Precede de generation de cles electroniques d 
pour proced^ de cryptographie a cle publique au moyen 
d'un dispositif electronique, principalement 

caracterise en ce qu' il comprend deux etapes de calcul 
dissociees : 

Etape A 

1) Calcul de couples de nornbres premiers {p,q) ou 
de valeurs representatives de couples de nombres 
premiers, ce calcul 6tant ind^pendant de la 
connaissance du couple (e,l) dans lequel e est 
I'exposant public et 1 la longueur de la cl6 du 
procfede de cryptographie, 1 etant egalement la 
longueur du module N dudit proc6d6, 

2) Stockage des couples ou des valeurs ainsi 
obtenus ; 

Etape B 

Calcul d'une cl6 d a partir des resultats de 
l'6tape A et de la connaissance du couple (e,l). 

2. Precede de generation de cles electroniques 
selon la revendication 1, caracterise en ce que 1' etape 
A-1) consist e calculer des couples de nombres 

premiers (p,q) sans connaissance de I'exposant public e 
ni de la longueur 1 de la cie, en utilisant un 
parametre n qui est le produit de petits nombres 
premiers, de mani^re a ce que chaque couple (p,q) ait 
une probabilite maximale de pouvoir correspondre ^ un 
futur couple (e,l) et puisse permettre de calculer une 
cie d. 

3- Precede de generation de cies electroniques 
selon la revendication 2, caracterise en ce que le 



calcul de l'§tape A-1) tient compte en plus du fait que 
e a une forte probabilite de faire partie de 1' ensemble 
{3r 17,..., 2"^^*^}, on utilise pour cela dans ce calcul une 
graine a qui permet de calculer non pas des couples 
5 (P/q) mais une valeur representative appel6e image des 
couples (P/q) . 

4 . Proc^de de generation de cles electroniques 
selon la revendication 1 et 3, caracterise en ce le 

10 stockage A-2) consiste a memoriser 1' image des couples- 

5. Precede de generation de cles electroniques 
selon la revendication 1, caracterise en ce que I'etape 
A-1) consiste ^ calculer des couples de nombres 

15 premiers {p,q) pour diff6rents couples (e,l) probables. 

6. Proc6de de generation de cl6s electroniques 
selon les revendications 2 et 5, caracterise en ce que 
le parametre n contient les valeurs usuelles de 

20* I'exposant public e par exemple 3, 17. 

7 . Precede de generation de cles electroniques 
selon la revendications 1, caracterise en ce que 
I'etape A-1) comprend une operation de compression des 

25 couples (p,q) calcuies et I'etape A~2) consiste alors a 
stocker les valeurs compressees ainsi obtenues. 

8. Precede de generation de cies electroniques 
selon la revendication 1, caracterise en ce que I'etape 

30 A-1) comprend la generation d'un nombre premier q, pour 
lequel on fixe une limite inferieure Bo pour la longueur 
(odB ce nombre premier a generer, telle que ^ Bo par 
exemple Bo= 256 bits, et en ce qu'elle comprend les sous 
etapes suivantes : 
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1) -calculer des parametres v et w a partir des 
relations suivantes et les memoriser: 

v=^/2^/ n 
5 w=2*^/ n 

dans lesquelles 11 est mfemorise et correspond au 
produit des f plus petits nombres premiers, f etant 
choisi de manidre telle que 11 ^ 2^% 

2) -choisir un nombre j dans I'intervalle des 
10 nombres entiers {v,....,w-l} et calculer n ; 

3) -choisir et enregistrer un nombre premier k de 
longueur courte par rapport a la longueur d'une cle RSA 
dans I'intervalle des nombres entiers {0,...., 11—11 , 
(k, 11) etant co-premiers, ; 

15 4) -calculer q= , 

5) -verifier que q est un nombre premier, si q 
n'est pas un nombre premier alors : 

a) prendre une nouvelle valeur pour k au moyen de 
la relation suivante : 

20 k = a k { m o d n ) ; a appartenant au groupe 

multiplicatif nombres entiers modulo IT; 

b) r§it§rer d partir de I'etape 4) ; 

9. Precede de g6n6ration de cles 61ectroniques 
25 selon les revendications 3 et 8, caract6ris6 en ce que 

les nombres j et k peuvent etre generes a partir de la 
graine a stockee en m6moire. 

10. Precede de generation de cles electroniques 
30 selon la revendication 8, caracterise en ce que le 

nombre premier p est genere en reiterant toutes les 
sous etapes precedentes en remplagant q par p et en 
remplagant io par i-to. 
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11. Proced6 de g6n6ration de cles electroniques 
selon 1*^006 quelconque des revendications prec6dentes, 
caract6rise en ce que : 

L'etape B comprend, pour un couple (p,q) obtenu A 
5 I'etape A, : 

- La verification des conditions suivantes : 

(i) p-1 et q-1 premiers avec e donne et, 

(ii) N= p*q un nombre entier de longueur i 
donnee, 

~ Si le couple (p'q) ne repond pas a ces 
conditions : 

- Choix d'un autre couple et reiteration de la 
verification jusqu'a ce qu'un couple convienne;. 

- Calcul de la cle d a partir du couple (Prq) 
15 obtenu. 

12. Ob jet securise portatif apte A g§n§rer des, .cles 
electroniques .d d' un algorithme de cryptographie de 
type RSA, caracterise en ce qu'il comprend au moins : 

^0 - Des moyens de communication pour recevoir au 

moins un couple (e,l)^ 

- Une memoire pour stoker les resultats d^une etape 
A consistant a : 

Calculer des couples de nombres premiers {p,q) ou 
25 de valeurs representatives de couples de nombres 

premiers, ce calcul etant independant de la 
connaissance du couple ' (e,l) dans lequel e est 
I'exposant public et 1 la longueur de la cle du 
procede de cryptographies 1 etant ^galement la 
longueur du module N de ce p, 

- Un programme pour mettre en oeuvre une etape B 
consistant k : 

Calculer une cle d a partir des resultats de 
l'6tape A et de la connaissance d' un couple (e^l)/ 
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13. Objet securise portatif selon la revendication 

12, caracterise en ce qu'il comprend en outre un 
programme pour la mise en CBUvre de l'§tape A, les 

5 etapes A et B etant dissociees dans le temps. 

14, Objet securise portatif selon la revendication 

13, caracterise en ce que le programme de mise en oeuvre 
de I'etape A met en oeuvre les sous-etapes : 

10 1) -calculer des parametres v et w a partir des 

relations suivantes et les memoriser: 

^=^g2?^^ n 
w=2^/ n 

15 dans lesquelles 11 est memorise et correspond au 

produit des f plus petits nombres premiers, f etant 
choisi de maniere telle que H <> Bo est une limite 

inf erieure f ixee pour la longueur ^ o du nombre premier a 
generer telle que i o ^ Bo par exemple Bo= 256 bits, 

20 2)-choisir un nombre j dans I'intervalle des 

nombres entiers {v,.„.,w-l} et calculer f=j 11 / 

3) -choisir et enregistrer un nombre premier k de 
longueur courte par rapport a la longueur d'une cle RSA 
dans 1' intervalle des nombres entiers {0,...., 11—1} , 

25 (k, IT) etant co-premiers, ; 

4) -calculer q= k+^ / 

5) -verifier que q est un nombre premier, si q 
n'est pas un nombre premier alors : 

a) prendre une nouvelle valeur pour k au moyen de 
30 la relation suivante : 

k = ak(modn); a appartenant au groupe 
multiplicatif Z*^ des nombres entiers modulo H; 

b) reiterer a partir de I'etape 4). 
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15 • Ob jet securise portatif selon la revendication 
12 ou 13 ou 14, caracterise en ce qu' il est constitue 
par une carte a puce. 
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